Megosztás a következőn keresztül:

Oktatóanyag: Többtényezős hitelesítés kényszerítése a B2B-vendégfelhasználók számára

  • Cikk

A következőkre vonatkozik:Zöld kör fehér pipa jellel.Munkaerő-bérlők Fehér kör szürke X szimbólummal. Külső bérlők (további információ)

Ha külső B2B-vendégfelhasználókkal dolgozik együtt, érdemes többtényezős hitelesítési szabályzatokkal védeni az alkalmazásokat. Ezután a külső felhasználóknak nem csupán felhasználónévre és jelszóra van szükségük az erőforrások eléréséhez. A Microsoft Entra ID-ban ezt a célt egy feltételes hozzáférési szabályzattal érheti el, amely MFA-t igényel a hozzáféréshez. Az MFA-szabályzatok a bérlői, alkalmazás- vagy egyéni vendégfelhasználói szinten is kikényszeríthetők, ugyanúgy, mint a saját szervezet tagjai számára. Az erőforrás-bérlő mindig felelős a Microsoft Entra többtényezős hitelesítéséért a felhasználók számára, még akkor is, ha a vendégfelhasználó szervezete többtényezős hitelesítési képességekkel rendelkezik.

Példa:

Egy vendégfelhasználó céges alkalmazásokba bejelentkező vendégfelhasználót ábrázoló ábra.

  1. Az „A” cég egyik rendszergazdája vagy alkalmazottja azt kéri egy vendégfelhasználótól, hogy használjon egy olyan felhőalapú vagy helyszíni alkalmazást, amely kötelező MFA-használatra van konfigurálva.
  2. A vendégfelhasználó saját munkahelyi, iskolai vagy közösségi identitásával jelentkezik be.
  3. A felhasználót felkéri a rendszer, hogy végezze el a többtényezős hitelesítést.
  4. A felhasználó beállítja az „A” céghez tartozó MFA-hitelesítést, és elvégzi magának az MFA-beállításokat. A felhasználó hozzáférhet az alkalmazáshoz.

Feljegyzés

A Microsoft Entra többtényezős hitelesítése erőforrás-bérlőn történik a kiszámíthatóság biztosítása érdekében. Amikor a vendégfelhasználó bejelentkezik, a háttérben megjelenik az erőforrás-bérlő bejelentkezési lapja, valamint a saját otthoni bérlő bejelentkezési lapja és a cég emblémája az előtérben.

Az oktatóanyag során az alábbi lépéseket fogja végrehajtani:

  • A bejelentkezési folyamat tesztelése az MFA beállítása előtt.
  • Hozzon létre egy feltételes hozzáférési szabályzatot, amely MFA-t igényel egy felhőalkalmazáshoz való hozzáféréshez a környezetben. Ebben az oktatóanyagban a Windows Azure Service Management API alkalmazással mutatjuk be a folyamatot.
  • A What If eszköz használata az MFA-bejelentkezés szimulációjához.
  • Tesztelje a feltételes hozzáférési szabályzatot.
  • A tesztfelhasználó és a szabályzat törlése.

Ha nem rendelkezik Azure-előfizetéssel, mindössze néhány perc alatt létrehozhat egy ingyenes fiókot a virtuális gép létrehozásának megkezdése előtt.

Előfeltételek

Az oktatóanyag teljesítéséhez a következőkre lesz szüksége:

  • Hozzáférés a Microsoft Entra ID P1 vagy P2 kiadásához, amely a feltételes hozzáférési szabályzat képességeit tartalmazza. Az MFA kényszerítéséhez létre kell hoznia egy Microsoft Entra feltételes hozzáférési szabályzatot. Az MFA-szabályzatok mindig érvénybe lépnek a szervezetben, függetlenül attól, hogy a partner rendelkezik-e MFA-képességekkel.
  • Egy érvényes külső e-mail-fiók, amelyet vendégfelhasználóként hozzá tud majd adni a bérlői címtárhoz, és amellyel be lehet majd jelentkezni. Ha nem tudja, hogyan hozhat létre vendégfiókot, olvassa el a B2B-vendégfelhasználó hozzáadása a Microsoft Entra Felügyeleti központban című témakört.

Tesztvendég felhasználó létrehozása a Microsoft Entra-azonosítóban

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhasználói rendszergazdaként.

  2. Keresse meg az Identitás>Felhasználók>Minden felhasználó elemet.

  3. Válassza az Új felhasználó, majd a Külső felhasználó meghívása lehetőséget.

    Képernyőkép az új vendégfelhasználói lehetőség kiválasztásáról.

  4. Az Alapszintű beállítások lap Identitásterületén adja meg a külső felhasználó e-mail-címét. Ha szeretné, adjon meg egy megjelenítendő nevet és egy üdvözlő üzenetet.

    Képernyőkép a vendég e-mail címének megadásáról.

  5. A Tulajdonságok és hozzárendelések lapon további részleteket is hozzáadhat a felhasználóhoz.

  6. Válassza a Véleményezés + meghívás lehetőséget, ha automatikusan el szeretné küldeni a meghívót a vendégfelhasználónak. Megjelenik a Felhasználó meghívása sikerült üzenet.

  7. Miután elküldte a meghívót, a felhasználói fiók automatikusan hozzáadódik a címtárhoz vendégként.

A bejelentkezési folyamat tesztelése az MFA beállítása előtt

  1. A teszt felhasználónevével és jelszavával jelentkezzen be a Microsoft Entra felügyeleti központjába.
  2. Csak a bejelentkezési hitelesítő adataival férhet hozzá a Microsoft Entra felügyeleti központhoz. Nincs szükség más hitelesítésre.
  3. Kijelentkezés.

MFA-t igénylő feltételes hozzáférési szabályzat létrehozása

  1. Jelentkezzen be a Microsoft Entra felügyeleti központbafeltételeshozzáférés-adminisztrátorként.

  2. Keresse meg a >>szabályzatokat.

  3. Válassza az Új szabályzat lehetőséget.

  4. Adjon nevet a szabályzatnak, például MFA megkövetelése a B2B-portálhoz való hozzáféréshez. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.

  5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.

    1. A Belefoglalás csoportban válassza a Felhasználók és csoportok kiválasztása, majd a Vendég vagy külső felhasználók lehetőséget. A szabályzatot különböző külső felhasználótípusokhoz, beépített címtárszerepkörökhöz vagy felhasználókhoz és csoportokhoz rendelheti.

    Képernyőkép az összes vendégfelhasználó kiválasztásáról.

  6. A Célerőforrások erőforrások (korábbi nevén felhőalkalmazások) területen >> kiválasztását, a Windows Azure Service Management API-t, és válassza a Kiválasztás lehetőséget.>

    Képernyőkép a Cloud Apps oldalról és a Kiválasztás lehetőségről.

  7. A Hozzáférés-vezérlések>megadása csoportban válassza a Hozzáférés megadása, a Többtényezős hitelesítés megkövetelése, majd a Kiválasztás lehetőséget.

    Képernyőkép a többtényezős hitelesítésre vonatkozó lehetőségről.

  8. A Szabályzat engedélyezése alatt válassza a Be lehetőséget.

  9. Válassza a Létrehozás lehetőséget.

A What If lehetőség használata a bejelentkezés szimulációjára

  1. A feltételes hozzáférésen | Szabályzatok lap, válassza a What If lehetőséget.

    A Feltételes hozzáférés – Szabályzatok lapon a What if (Mi van, ha) lehetőség kiválasztásának helye képernyőképe.

  2. Válassza ki a Felhasználó alatti hivatkozást.

  3. A keresőmezőbe írja be a tesztvendég felhasználó nevét. Válassza ki a felhasználót a keresési eredmények között, majd válassza a Kiválasztás lehetőséget.

    Képernyőkép a kijelölt vendégfelhasználóról.

  4. Válassza ki a hivatkozást a Felhőalkalmazások, műveletek vagy hitelesítési tartalmak területen. Válassza az Erőforrások kijelölése lehetőséget, majd a Kiválasztás területen válassza a hivatkozást.

    Képernyőkép a kijelölt alkalmazásról.

  5. A Felhőalkalmazások lapon az alkalmazások listájában válassza a Windows Azure Service Management API lehetőséget, majd válassza a Kiválasztás lehetőséget.

  6. Válassza a What If lehetőséget, és ellenőrizze, hogy az új szabályzat megjelenik-e a Kiértékelési eredmények területen az alkalmazandó szabályzatok lapon.

    Képernyőkép a What If kiértékelésének eredményeiről.

A feltételes hozzáférési szabályzat tesztelése

  1. A teszt felhasználónevével és jelszavával jelentkezzen be a Microsoft Entra felügyeleti központjába.

  2. További hitelesítési módszerekre vonatkozó kérésnek kell megjelennie. Eltarthat egy ideig, mire a szabályzat érvénybe lép.

    Képernyőkép a További információ szükséges üzenetről.

    Feljegyzés

    A bérlők közötti hozzáférési beállításokat úgy is konfigurálhatja, hogy megbízzanak az MFA-ben a Microsoft Entra otthoni bérlőjében. Ez lehetővé teszi, hogy a külső Microsoft Entra-felhasználók a saját bérlőjükben regisztrált MFA-t használják az erőforrás-bérlőben való regisztráció helyett.

  3. Kijelentkezés.

Az erőforrások eltávolítása

Ha már nincs rá szükség, távolítsa el a tesztfelhasználót és a feltételes hozzáférési szabályzatot.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhasználói rendszergazdaként.

  2. Keresse meg az Identitás>Felhasználók>Minden felhasználó elemet.

  3. Válassza ki a tesztfelhasználót, majd utána a Felhasználó törlése lehetőséget.

  4. Jelentkezzen be a Microsoft Entra felügyeleti központbafeltételeshozzáférés-adminisztrátorként.

  5. Keresse meg a >>szabályzatokat.

  6. A Szabályzatnév listában válassza a tesztszabályzathoz tartozó helyi menüt (...), majd kattintson a Törlés lehetőségre. Válassza az Igen lehetőséget a megerősítéshez.

Következő lépés

Ebben az oktatóanyagban létrehozott egy feltételes hozzáférési szabályzatot, amely megköveteli, hogy a vendégfelhasználók MFA-t használjanak az egyik felhőalkalmazásba való bejelentkezéskor. További információ a vendégfelhasználók együttműködéshez való hozzáadásáról: Microsoft Entra B2B együttműködési felhasználók hozzáadása a Microsoft Entra felügyeleti központban.